SIRK Styring Internrevisjon Risiko Kontroll Nummer 2, vinter 2011, 19. årgang Et våkent øye om Tilsyns-Norge Jørgen Kosmo: God kontroll er god økonomi! God foretaks styring i praksis Bærekraft og samfunns - ansvar Etablering av internrevisjon? Ny veileder fra DFØ Bank & forsikring: FATCA Solvency Verdiskapende internrevisjon
REDAKTØRENS SPALTE «God kontroll er god økonomi» stadfester Jørgen Kosmo i sin samtale med SIRK, til inspirasjon bl.a. for virksomhetsledere i offentlig sektor som vurderer å etablere internrevisjon og støtter seg på den nye veilederen fra DFØ (tidligere SSØ). Det er ikke vanskelig å være enig med Kosmo; det finnes utallige eksempler på hvor kostbart det kan bli med dårlig kontroll, i form av ineffektivitet, suboptimale beslutninger, lovbrudd, misligheter og korrupsjon, materielle skader og i verste fall tap av menneskeliv. Nærliggende eksempler på hvor dyrt det kan bli, er problemene i Sør- Europa, muliggjort ved manglende kontroll på mikroplan (for eksempel i utbetalings prosesser) og makroplan (svakheter i overvåkingen fra myndighetenes side). En kombinasjon av ferie og jobb har det siste halve året ført meg til Spania, Italia, Hellas og Island - reneste road show i finanskrise-land, bare Portugal og Irland gjenstår. Ratingselskapenes ned gradering av USA er nesten glemt i det hele, men USA er ikke over kneiken av den grunn. Selv om årsakssammenhengene er ulike mellom landene, og det er vanskelig å gjøre observasjoner som gjest på kort besøk, føles det litt trygt å være norsk. Men hvordan kan vi vite at ikke Norge kan rammes av liknende kriser? Hvordan kan vi føle oss trygge på at det ikke brått kommer for en dag at vi har brukt for mye penger, eller rettere; at vi har brukt mye mer penger enn vi trodde? At vi har brukt penger som det viser seg at vi egentlig ikke har, til prosjekter og formål vi ikke burde bruke penger på, og at fremtidige generasjoner kan se langt etter et liv i samme velstand som den vi har i dag? Eller at ikke finans næringen kan klappe sammen på kort varsel og trenge mye mer enn midlertidig likviditetstilgang, med dramatiske konsekvenser for norsk økonomi? Slike scenarier er en absurd tanke for de fleste. Vi har tillit til Hey, we re government accountants. These numbers aren t supposed to add up. @simoleonsense.com Her har revisjon- og tilsynsmyndigheter en jobb å gjøre. at det norske samfunnet gjennomgående har velfungerende kontrollsystemer. Men den tilliten kan vi ikke ha uten en god forvaltning tuftet på uavhengighet, åpenhet og kompetanse. Her spiller Riksrevisjonen og tilsyns - myndighetene avgjørende roller, som vi har sett nærmere på i dette nummeret av SIRK. Videre har vi fokus på god foretaksstyring og hvordan man kan diagnostisere tilstanden for egen virksomhet. Mange foretak har en jobb å gjøre på dette området, mens noen er kommet langt. Artikkelen om internrevisjonens rolle i modne kontrollmiljøer, målbærer en vridning fra bekreftelse til rådgivning for virksomheter som har på plass velfungerende system for foretaksstyring og internkontroll som har vært revidert over tid. For noen kontrollfunksjoner vil dette bety en litt annen måte å jobbe på at man må se enda mer fremover og mer utover. Det er også en ambisjon for SIRK. Vi håper dette nummeret av SIRK kan bidra med opplysning, bevisstgjøring og inspirasjon for både ansatte og ledere til å møte nye utfordringer i 2012. REDAKSJONS KOMITEEN Ansvarlig for dette nummeret av SIRK Janne Britt Saltkjel - leder Deloitte AS Postboks 347 Skøyen 0213 Oslo M: 99 12 01 95 jsaltkjel@deloitte.no Anders Blix EDB Ergo Group Konsernrevisjonen Postboks 640 Skøyen 0214 Oslo M: 48 30 03 87 anders.blix@edb.com Tor Solbjørg Helse Nord RHF 8038 Bodø M: 91 76 88 28 tor.solbjorg@helse-nord.no Mari Vonen PricewaterhouseCoopers AS Postboks 748, Sentrum, 0106 Oslo, M: 95 26 01 60 mari.vonen@no.pwc.com Randi Almås Norges Bank Postboks 1179 Sentrum 0107 Oslo M: 95 76 02 88 randi.almas@norges-bank.no Se mer info på www.iia.no 2 SIRK nr 2. 2011
Innhold 2 Redaktørens spalte 4 Styrets leder har ordet Tilsyns-Norge 6 God kontroll er god økonomi! Jørgen Kosmo 11 Hva gjør og utgjør Tilsyns-Norge? 14 Finanstilsynets arbeid med tilsyn innenfor bank- og finanssektoren 16 Hvordan påvirker eksterne tilsyn intern styring og kontroll ved et helseforetak? 20 Internrevisjon som verdiskapende funksjon 22 Ny veileder fra DFØ om etablering av internrevisjon 24 Utlendingsdirektoratet - styring og internrevisjon Fag & Aktuelt 26 Internrevisors rolle i et modent kontrollmiljø 28 Hva er god praksis for foretaksstyring? 31 Solvency II og Internrevisjon 34 Få FATCA på bordet 36 Bærekraft og samfunnsansvar internrevisjonens rolle 38 Engasjerende paneldebatt 39 Informasjonsinnhenting og -analyse, et nytt kurs utviklet av nettverk misligheter 40 Faglig integrasjon og samarbeid mellom profesjoner 42 Reisebrev fra Kuala Lumpur 43 ECIIAs Internal Auditing European Conference 2011: Moving forward Forenings- og profesjonsnytt 46 Ledernettverket i NIRF 48 Tillitsvalgtsamlingen 2011 52 Nyheter fra sekretariatet, IIA og andre samarbeidspartnere 54 Viktige endringer - CIA 55 På tampen NORGES INTERNE REVISORERS FORENING President Martin W. Stevens Gjensidige Forsikring Postboks 276 1326 Lysaker M: 95 75 01 92 martin.stevens@gjensidige.no Informasjons- og promoteringskomitéen Alf Martin Hanssen Statsbygg Postboks 8106 Dep 0032 Oslo J: 22 95 40 10 M: 92 21 44 66 amh@statsbygg.no Konferansekomitéen Siv Austad Hove If Skadeforsikring Postboks 240 1326 Lysaker J: 67 84 08 81 M: 92 22 17 45 siv.austad@if.no Programkomitéen Karl Ludvig Mauland PricewaterhouseCoopers AS Postboks 748 Sentrum 0106 Oslo M: 95 26 07 63 karl-ludvig.mauland@no.pwc.com Redaksjonskomitéen Janne Britt Saltkjel - leder Deloitte AS Postboks 347 Skøyen 0213 Oslo M: 99 12 01 95 jsaltkjel@deloitte.no Nominasjonskomitéen Solbjørg Lie leder NAV Internrevisjon Postboks 5 St. Olavs plass 0130 Oslo M: 90 87 64 35 solbjorg.lie@nav.no Foreningsekretariat Ellen C. Brataas Generalsekretær M: 97 62 05 65 ellen.brataas@iia.no Svein Stabekk Foreningssekretær M: 93 23 79 12 svein.stabekk@iia.no Postadresse: Norges Interne Revisorers Forening Postboks 1417 Vika, 0115 Oslo post@iia.no Besøksadresse: Munkedamsveien 3 B, 3. etg. 0161 Oslo Internrevisoren: Organ for Norges Interne Revisorers Forening, NIRF Antall utgivelser pr. år: 2 Opplag: 1.300 Meninger og påstander som fremkommer i artikler eller innlegg er ikke nødvendigvis sammenfallende med NIRFs syn. Neste utgave: Juni 2012 Har du bidrag til bladet? Ta kontakt med redaksjonens leder for frister m.m. Årsabonnement: Kr. 150 Annonsepriser: Kr. 5.000 for en helside Kr. 3.000 for en halvside (mva. tilkommer) Grafisk produksjon: Dalby Grafisk Forsidebilde: istockphoto
Styrets leder HAR ORDET Ord fra presidenten Årets tillitsvalgtsamling var et høydepunkt for meg. Jeg følte meg både stolt og beæret over å være frontfigur i en forening med så mye engasjement fra medlemmene som vi har. Jeg mener at vi i denne sammenhengen er ganske unike. Det ga meg inspirasjon til å jobbe videre med å gjøre også min innsats til utvikling av faget intern revisjon og fagfeltet internkontroll, risikostyring og corporate governance. Jeg vil gjerne bruke denne anledning til å fortelle mer om aktivitetene vi har på gang og invitere alle som har innspill og meninger om temaene til å ta kontakt med oss. Vi har tatt initiativ til å opprette et faglig forum for risikostyring. Vi erkjenner at det er mange av våre medlemmer som jobber innenfor dette fagfeltet og som attpåtil har byttet ut revisorhatten med riskmanager - hatten. Dette forumet skal kunne danne grunnlag til en møteplass for erfaringsutveksling og faglig utvikling. Det vil komme mer informasjon om opplegget fremover. Samtidig søker vi bedre kontakt og samarbeid med eventuelle andre foreninger i Norge som har medlemmer som jobber innenfor dette fagfeltet. Et annet fagområde vi tenker å fokusere på i neste omgang er Compliance mer om det etter hvert. En hyggelig side med internrevisjon er virkelig hvor internasjonal den er. Som president har jeg fått anledning til å representere vår forening i både Kuala Lumpur og Madrid. Når man hører på de utfordringene vi står overfor, skjønner man at vi har en felles utfordring i å kommunisere godt mot de vi rapporterer til og forsyne dem med den informasjon og innsikt de trenger. Innenfor Norden har både vår generalsekretær og jeg et godt forhold til våre kolleger i Sverige. Vi merker at flere av våre bedrifter, spesielt innenfor finansnæringen, er representert i alle de nordiske land samt Baltikum. Vi synes det da er naturlig å søke samarbeid innenfor dette nære utlandet. Ikke at vi skal svekke tilbudet nasjonalt, men heller søke å berike det gjennom å gi tilbud som ikke kunne forsvares økonomisk eller tidsmessig om vi skulle stå alene om dem. Vi søker å konkretisere våre disku - sjoner mer om dette senere. Til slutt ønsker jeg å berømme SIRK. Bladet er blitt lagt merke til. Hver gang jeg holder et foredrag i fora der det kommer andre enn våre medlemmer tar jeg med meg en liten bunke SIRK. Noe finere reklamemateriell for hva vår forening er og står for kan jeg vanskelig tenke meg. Bladet har alltid hatt interessante artikler om styring og kontroll og ikke bare internrevisjonsfaget, men nå opp - lever vi at det hinderet som navnet var til utenforstående er borte, og interessen økende. Jeg oppmuntrer alle som har anledning til å gi en kopi til kollegaer eller kjente som jobber innenfor fagfeltet. Ta bare kontakt med foreningssekretariatet og hør om det er noen overskudds - eksemplarer som man kan få til egen distribusjon vårt prinsipp er så lenge lageret rekker. Jeg ønsker alle sammen en god jul og et godt nytt år! 4 SIRK nr 2. 2011
Hvordan sikre måloppnåelse? Deloitte Internrevisjon obler Ta gjerne kontakt med en av våre eksperter for å finne ut hva vi kan gjøre for din bedrift. Kontakt: Janne Britt Saltkjel senior manager tlf: 99 12 01 95 jsaltkjel@deloitte.no partner tlf: @deloitte.no Karenslyst allé 0213 Oslo Tlf: 23 27 90 00 www.deloitte.no 201 Deloitte AS SIRK nr 2. 2011 5
Tilsyns-Norge God kontroll er god økonomi! Jørgen Kosmo ved Janne Britt Saltkjel og Anders Blix, Redaksjonskomiteen Fra Riksrevisjonens hjemmesider: Riksrevisjonen er Stortingets viktigste eksterne kontrollorgan og skal bidra til at fellesskapets midler og verdier blir brukt og forvaltet slik Stortinget har bestemt. Riksrevisjonen har en uavhengig stilling overfor forvaltningen og rapporterer resultatene av revisjonen og kontrollen til Stortinget. Visjon: Riksrevisjonen bidrar effektivt til Stortingets kontroll og fremmer god forvaltning. Organisasjon Riksrevisjonen er organisert i syv områder. De 540 ansatte inkluderer revisorer, jurister, økonomer, samfunnsvitere og flere andre profesjoner og utdanningsretninger. Riksrevisjonen ledes av et kollegium på fem riksrevisorer som velges av Stortinget hvert fjerde år. Avdeling I Finansdepartementet Fornyings-, administrasjons- og kirke departementet Kulturdepartementet Statsministerens kontor Stortinget Forvaltningsrevisjonsavd. I Metode Selskapskontroll Arbeidsdepartementet Barne-, likestillings- og inkluderingsdepartementet Fornyings-, administrasjonsog kirkedepartementet Helse- og omsorgsdept. Kommunal- og regionaldept. Nærings- og handelsdept. Avdeling II Forsvarsdept. Fiskeri- og kyst dept. Landbruks- og matdept. Miljøverndept. Olje- og energidept. Samferdselsdept. Riksrevisjonens kollegium Kollegiets leder Revisjonsråd Avdeling III Justis- og politidept. Kunnskapsdept. Kommunal- og regionaldept. Nærings- og handelsdept. Utenriksdept. Forvaltningsrevisjonsavd. II Finansdept. Fiskeri- og kystdept. Forsvarsdept. Kultur- og kirkedept. Justis- og politidept. Kunnskapsdept. Landbruks- og matdept. Miljøverndept. Olje- og energidept. Samferdselsdept. Utenriksdept. Stabsseksjonen Avdeling IV Metode Arbeidsdepartementet Barne-, likestillings- og inkluderingsdept Helse- og omsorgsdept. Administrasjonsavd. Drift Økonomi IKT Dokumentasjonsseksjonen Internasjonalt samarbeid Personal Jørgen Kosmo var innvalgt på Stortinget for Vestfold AP i årene 1985 til 2005. Han var forsvarsminister 1993 1997 og arbeidsog administrasjonsminister 2000 2001. Fra 2001 til 2005 var han stortingspresident. Kosmo ble 2. juli 2004 utnevnt til fylkesmann i Telemark. Han rakk ikke å tiltre fylkesmannsembetet før han høsten 2005 ble utnevnt til riksrevisor. Kosmo har i løpet av sin periode som riksrevisor frontet en rekke saker som har fått bred oppmerksomhet i offentligheten, bl.a. om informasjonssikkerhet, ineffektivitet i offentlig forvaltning, pasientrettigheter, oppfølging av tilskudd til bistandsarbeid m.v. Riksrevisjonens organisering og styring Kollegiet fra og med 2010 til og med 2013 består av: Jørgen Kosmo (Arbeiderpartiet), leder Arve Lønnum (Fremskrittspartiet), nestleder Annelise Høegh (Høyre) Per Jordal (Senterpartiet) Synnøve Brenden (Arbeiderpartiet) Riksrevisjonens nestleder er revisjonsråd Bjørg Selås som har det faglige og administrative ansvaret. Jørgen Kosmo tiltrådte som leder av Riksrevisjonen i 2006 og sitter nå i sin andre periode som leder av riksrevisorkollegiet. SIRK møtte Kosmo like før årets Dokument 1 1 ble avgitt til Stortinget 22. november. Vi begynte med en gjennomgang av organisering og kollegiets funksjon, og Kosmo forklarte: 1 Resultatet av revisjonen av departe mentene og underliggende virksomheter avgis i årlig rapport til Stortinget; Dokument 1. 6 SIRK nr 2. 2011
Tilsyns-Norge Riksrevisjonens kollegium på fem riksrevisorer velges av Stortinget, dette er en arv fra grunnloven, som har stått fast i snart 200 år. Stortinget er opptatt av bredt politisk engasjement. Ofte er det stortingsrepresentanter som velges inn i kollegiet, men ikke alltid. I det nåværende kollegiet er det for eksempel en dommer og en ordfører Kosmo forteller at riksrevisorene og deres personlige varamedlemmer velges for fire år om gangen og har en stemme hver. Beslutninger fattet av kollegiet krever at minst tre riksrevisorer er enige. Lederen av kollegiet er Riksrevisjonens daglige leder. Kollegiet fungerer som et slags styre, der Riksrevisor kan sammenlignes med en blanding av arbeidende styreformann og daglig leder. Kollegiet behandler rapportene til Stortinget og andre viktige saker i plenum. Riksrevisjonen er organisert i seks ulike revisjonsavdelinger og en administrativ. Fire av de seks reviderer statsregnskapet, herunder kontroll med disposisjonene. De to forvaltnings - revisjonsavdelingene etterprøver hvordan offentlige tiltak er satt i verk, og ser på hvilke virkninger tiltakene har hatt. Kosmo forklarer at mens regnskapsrevisjonen tar ett regnskapsår ad gangen, innbærer forvaltningsrevisjon en måling over tid. Ansvarsfordelingen mellom avdelingene følger departementenes respektive ansvarsområder. I den ene forvaltningsrevisjonsavdelingen ligger selskapskontroll som innebærer å følge med eierstyringen av virksomheter der staten er hel- eller del-eier. Til forskjell fra vanlig revisjon er Riksrevisjonens oppgave å se til at eierstyringen foregår i tråd med virksomhetens samfunnsoppgave og er rettet mot departementets oppfølging; departementet representerer eieren. Alle rapporter som skal til Stortinget skal til kollegiet og alle saker av stor betydning skal fremmes for kollegiet, bl.a. ansettelse av ledere. Hvordan prioriteres arbeidet og hvordan fastsettes revisjonsplan? Hva vil du fremheve som viktig for Riksrevisjonen? Vi begynner med risikovurderinger med fokus på risiko og vesentlighet. Hver avdeling foretar risikovurderingene, kollegiet bestemmer hva som skal prioriteres. Riksrevisjonen er pålagt å revidere alle regnskaper, og en god del ressurser settes inn på dette, men den store utfordringen er å se risikoer på tvers av områder og vi jobber kontinuerlig med dette for best mulig ressursbruk. I det øyeblikket man leverer Dokument 1, det vil si resultatet av regnskapsrevisjonen til Stortinget, starter planleggingen for neste år. Anskaffelser og informasjonssikkerhet Norsk forvaltning er anerkjent internasjonalt, men på spørsmål fra SIRK om hvilke områder Kosmo vil fremheve som de viktigste under hans periode, trekker han frem anskaffelser og informasjonssikkerhet. Selv om norsk forvalting er blant de beste i verden, har vi et forbedringspotensial. Riksrevisjonen har bl.a. hatt spesielt fokus på anskaffelser det forekommer store anskaffelser som Jørgen Kosmo og Janne Britt Saltkjel fra Redaksjonskomiteen. skjer utenfor loven. Man kan alltids si det er et komplisert regelverk som er vanskelig å etterleve, men det er dette regelverket myndighetene har bestemt at vi skal ha for å unngå vennetjenester, korrupsjon og misligheter. Kosmo bekrefter at dette har vært tema over lengre tid, uten at man har oppnådd tilfredsstillende forbedringer. Riksrevisjonen har derfor gjort en gjennomgang av hvorfor man ikke har oppnådd dette. Viktige årsaker er mangel på kompetanse, manglende lederansvar og manglende etisk holdning til anskaffelse. Er det spesielle årsaker til dette? Et forklarende forhold er at vi i Norge har en tradisjon og kultur for å styre anskaffelser til lokalmiljøet. Lov om offentlige anskaffelser, som er tilpasset EU-systemet, forpurrer dette ganske dramatisk. Det tar tid å endre kulturen, og for virksomhetsledere å gå bort fra å styre anskaffelser der de trengs næringspolitisk. Dette er ikke bare et problem i Norge, men i mange andre land også, påpeker Kosmo, og understreker videre at ansvaret må ligge hos virksomhetslederne. Det å gjøre dette til et politisk problem blir ikke riktig, det handler om virksomhetens rolle. Her kan internrevisjonen spille en rolle, for eksempel i Forsvaret og Vegvesenet. Riksrevisjonen har selv sentralisert innkjøpsfunksjon og lagt vekt på opplæring, kurs og tilgang på kompetanse fra juridisk sekretariat. Det andre området Kosmo trekker frem, er informasjonssikkerhet. Riksrevisjonen foretok for to år siden en gjennomgang av informasjonssikkerhet. Vinklingen var mot landets behov for sikkerhet, dvs både nasjonal sikkerhet og sikkerhet for enkeltpersoner, blant annet sikkerhet for at datasystemene kan kommunisere med hverandre uten at data lekker ut. Gjennomgangen gav et nedslående resultat, som har skapt økt fokus på informasjonssikkerhet. Vi har blant annet påpekt at kvaliteten i IT-systemene i justissektoren trenger opprusting. Svakhetene i IT-systemene reduserer bl.a. rettssikkerheten ved at de forsinker lovendringer og rammer domstolers mulighet til å følge opp lovgivers intensjoner. SIRK nr 2. 2011 7
Hvordan følges Riksrevisjonens funn og rapporter opp? Riksrevisjonen vil etter en tid foreta oppfølging for å påse at tiltakene er gjennomført. Forvaltningsrevisjoner følges opp tre år etter rapporteringen i den såkalte treårsoppfølgingen. Saker rapportert i Dokument 1 kan følges opp med særskilt rapportering påfølgende år eller følges i den løpende regnskapsrevisjonen. Kontroll- og konstitusjonskomiteens uttalelse i innstillingene til rapportene kan gi føringer for oppfølgingen. Internasjonale forhold og utfordringer «Fagfellevurdering» er en metode for kvalitetsvurdering gjort av andre lands riksrevisjoner: Hvordan gjøres dette og hvilken nytte har dette for Riksrevisjonen? Det gjøres ved at Riksrevisjonen ber tre tilsvarende organer komme og foreta en «fagfellevurdering». Vi ber disse om å se på ulike forhold, og vi bruker riksrevisjoner som er kjent for å være spesielt dyktige på de områdene de skal se på. Sist var dette den finske, den østerrikske og EUs Court of Auditors. Riksrevisjonen ba om fagfellevurdering som går på alt; revisjon, kvalitetskontroll, administrative rutiner. Den finske riksrevisjonen er den som produserer mest med minst folk, ECA har stor ekspertise på standarder, mens Østerrikes riks - revisjon er den som likner mest på vår. Vurderingene baseres på intervjuer, gjennomgang av systemene og dokumentasjon noe dokumentasjon må oversettes for formålet, men mye er uansett oversatt til engelsk i forbindelse med internasjonal rapportering, spesielt forvaltningsrevisjoner. Slike fagfelle - vurderinger skjer gjerne hvert 5. år, det er krevende og kan ikke skje for ofte og heller ikke av de samme. Rapporten fra vurderingen gjennomgås systematisk. Det er ikke alltid vi er enig i alt, men rapportene går usminket til parlamentet. Riksrevisjonen yter samme tjenester selv og har nylig hatt ansvar for en slik fagfellevurdering for Finland og en for USA (GAO). Riksrevisjonen fikk en henvendelse fra USA om å lede en fagfellevurdering sammen med Nederland og Sverige. Dette var en stor oppgave og en ære for oss. Norge er kjent for å ligge langt fremme når det gjelder offentlig revisjon, og vi får generelt veldig mange forespørsler om å dele vår innsikt og erfaring med andre. Kan du si noe om eventuelle forskjeller eller utfordringer i riksrevisjonsfunksjoner internasjonalt? Hvis man ser på Hellas feilrapportering over flere år av viktige økonomiske parametere, hvordan kan riksrevisjoner bidra til at slikt ikke skjer? Internasjonalt sett er riksrevisjonene skåret over Tilsyns-Norge olk skal vite at man har et kontrollorgan som foretar kontroller og rapporterer Fåpent. samme lest og alle riks revisjoner skal legge til grunn samme standarder. Det skal også kommunerevisjoner og internrevisjoner gjøre. INTOSAI, en verdensomspennende samarbeidsorganisasjon for riksrevisjoner i 189 land, har jobbet med utvikling av felles revisjonsstandarder for offentlig revisjon i mange år. Arbeidet har gått parallelt med utvikling av ISA'ene i privat sektor og INTOSAI har vedtatt offentlige tillegg til ISA-ene, såkalte Practice Notes (PN). PN-ene og ISA-ene blir til sammen kalt for ISSAI-er. Utviklingen har skjedd i et godt samarbeid med viktige aktører i privat sektor som IFAC, International Auditing and Assurance Standards Board (IAASB) og nasjonale revisorforeninger. Standardene dekker også Riksrevisjonens utvidede mandat i finansiell revisjon, den såkalte kontroll av disposisjonene (ISSAI 4200). Selv om det er felles rammeverk for riksrevisjoner, er det likevel noen forskjeller i oppgavefordelinger, og det vil være litt forskjell på organiseringer. I Hellas er riksrevisjonen en del av Finansdepartementet. I tillegg er det forskjeller i mulighetene i det politiske klima, og i grad av åpenhet. EU har sin egen revisjonsordning, EU Court of Auditors, med en representant auditor for hvert land (dvs 27), men man har ennå ikke funnet den rette balansen mellom EUs revisjon og de respek - tive riksrevisjonene. EU skal føre kontroll med bruk av EUmidler, men trenger støtte fra de nasjonale riksrevisjonene, og her ser vi ulikheter mellom landene med hensyn til den støtten EU får fra de nasjonale riksrevisjonene. European Court of Auditors har hatt størst utfordringer i Middelhavslandene. Det er imidlertid avgjørende at man har en fullstendig uavhengig riksrevisjon som ikke har tilknytning til forvaltningen som sådan, og at det håndheves krav til at rapportene skal være åpne. Dette er ikke alltid tilfellet. Åpenhet og utviklingen videre Har man fulgt med noen år, vil man ha registrert at Riksrevisjonen er mer synlige og oftere omtalt eller referert i dagens pressen enn for noen år siden. Kosmo og kollegiet holder med jevne mellomrom pressekonferanser der man deler informasjon om de revisjonsoppdragene som er gjennomført. Riksrevisjonen er mer åpen nå enn før. Hva ser du som fordelene og ulempene ved økt åpenhet? Hvordan er Norge er i forhold til utlandet? Dette er veldig viktig. Riksrevisjonens posisjon tilsier åpenhet. Folk skal vite at man har et kontrollorgan som foretar kontroller og rapporterer åpent, noe som krever kommunikasjon til pressen. Vi er helt bevisst på dette, og kollegiet holder pressekonferanser. Vi ser mange eksempler ute på at rapporter ikke er åpne eller kommuniseres til pressen, men nettopp trykket fra offentligheten medfører at man må reagere. Hva er Riksrevisjonens holdning til samarbeid med andre fagmiljøer, som internrevisjon og nettverk for statlig og offentlig sektor? Riksrevisjonen må være med å delta slik at internrevisjonsfunksjoner fungerer så godt som mulig, men vi må også ivareta vår uavhengighet. Vi bygger alltid på internrevisjoners arbeid, men foretar en kvalitetsvurdering før man beslutter hvor stor vekt man skal legge på deres arbeid. Denne vurderingen går gjerne på ressursene som er tilgjengelig, dvs i mindre grad på resultatene, men mer på vilkårene de er satt under. 8 SIRK nr 2. 2011
Tilsyns-Norge Kosmo påpeker at selv om økonomiregelverket for staten er veldig bra, har det en svakhet i at det kun setter krav til internkontroll, ikke til internrevisjon. Hvorvidt man skal ha internrevisjon er et spørsmål om risiko, størrelse og kompleksitet, men kravene burde ifølge Kosmo vært tydeligere. For store og komplekse virksomheter, bidrar god kvalitet i internrevisjonsarbeidet til en god eksternrevisjon. Riksrevisjonen for eksempel, har internkontroll, men ikke internrevisjon. Det er en stor organisasjon, men få utgifts - poster (lønn), som er enklere å kontrollere enn komplekse og mangeartede kontantstrømmer. Viktigheten av internrevisjon kan demonstreres ved et eksempel fra Forsvaret: På et tidspunkt ble internrevisjonen i Forsvaret lagt ned. Forsvaret fikk ikke godkjent regnskapene flere år på rad etter dette, sier Kosmo. - Det er en misforståelse at kutt i kontroll frigjør ressurser og dermed gir bedre økonomi. God internkontroll skaper god økonomi! Riksrevisjonens oppgaver. et skjer en revolusjon innen Doffentlige virksomheter Hva har du lagt vekt på som ditt bidrag i Riksrevisjonen siste året og hva mener du er viktig å fokusere på fremover? Det skjer en revolusjon innen offentlige virksomheter ved - rørende anskaffelser, utskilling, outsourcing, for eksempel i helsevesenet, og dette vil fortsette. Endringstakten øker og det skjer en modernisering av offentlig sektor. Når en rapport er levert Stortinget, er det opp til politikerne å treffe beslutninger om gjennomføring av forbedringstiltak. Dette behøver ikke være et spørsmål om bevilgninger eller penger, men kan også handle om ressursstyring, organisering, sentralisering og effektivisering. Det er også avdekket svakheter ved at man iblant har truffet valg og beslutninger eller gitt løfter FØR analysene er ferdige. Da kan ikke resultatet blir bra! For eksempel var sykehuset i Molde lovet før analysen forelå, denne viste at det ikke ville være god ressursbruk, men da var løftet allerede gitt. Kan det være ide å følge midler (for eksempel støtte til private sykehus)? Riksrevisjonen har bedt om fullmakt om å følge midlene inn i privat virksomhet, men har det ikke per nå. Vi er derfor avhengig av tilgang og samarbeid her, og det kan man komme langt med. Man må da se på mandatet til Riksrevisjonen. Vi bruker mye ressurser på helse, men andre land får til mer effektiv bruk gjennom bedre kontroll, organisering og ressursstyring. Hva har vært og er ditt fokus i Riksrevisjonen? Jeg har lagt stor vekt på vesentlighets- og risikovurderinger og at ressursbruken skal være risikobasert. Det har vært en lang vei å gå. Kosmo understreker viktigheten av at det er en felles prosess og vurdering for hele Riksrevisjonens ansvarsområde, og at det ikke kun er separate vurderinger for hver av de seks avdelingene. Kosmo fortsetter: Også fokus på pågående endringsprosesser har vært viktig, som gjør at vi til enhver tid skal kunne møte de ulike utfordringene som vi står overfor. Samfunnet utvikler seg, og Riksrevisjonen må kunne påta seg nye oppgaver og anvende nye tilnærmingsmåter. Kosmo fremhever også ambisjonen om å ligge langt fremme med hensyn til metode og kvalitet. De nye standardene fra INTOSAI som skal være implementert i løpet av 2012, har Riksrevisjonen ambisjon om å legge til grunn fra starten av 2012, og selv om noen tilpasninger kan være nødvendig, skal vi fortsatt innfri INTOSAI-standardenes krav. Det skal være kvalitet i arbeidsprosessene våre, og om vi følger INTOSAI, kan ingen hevde noe annet, fremholder Kosmo. amfunnet utvikler seg og Riksrevisjonen må påta seg nye oppgaver og anvende nye Stilnærmingsmåter Hva liker du best ved din rolle? Det beste med rollen er å få være i ledelsen av over 500 fantastiske medarbeidere. Jeg får daglig innspill fra veldig flinke og engasjerte ansatte. SIRK nr 2. 2011 9
2010 PwC. PwC er benevnelsen for de uavhengige e medlemsfirmaene i PricewaterhouseCoopers International Limited. PwCs virksomhet i Norge ligger i selskapene PricewaterhouseCoopers AS og Advokatfirmaet PricewaterhouseCoopers AS. 10 SIRK nr 2. 2011
Tilsyns-Norge Hva gjør og utgjør Tilsyns-Norge? ved Randi Almås, Redaksjonskomitéen Fra Wikipedia har vi sakset denne definisjonen: Tilsyn eller pass betyr å passe på, føre tilsyn med, eller stelle for eller med noe eller noen. Likeledes er tilsyn en felles betegnelse på instanser innenfor offentlig forvaltning som ser etter at lov- og regelverk blir overholdt. Statskonsult, som nå er en del av direktoratet for forvaltning og ikt, Difi, utga i 2000 et notat nr 8 Organsering av statlige tilsyn, etter oppdrag fra Arbeids- og administrasjonsdepartementet. Deres definisjon av tilsyn er sett i forhold til Statens eksterne tilsyn/kontroll, og omtalt som Myndighetsapparatets kontroll med hvordan rettslige for - pliktelser knyttet til ekstern produksjon, aktivitet eller posisjon etterleves, samt eventuelle etterfølgende reaksjoner på avvik. Statskonsult benytter en snever definisjon av tilsyn, som en undergruppe av myndighetsutøvelse. De sier videre: Ved vurdering av tilsyn og tilsynsoppgaver er det nødvendig å se tilsyn i sammenheng med øvrige oppgaver som organene ivaretar. I en kartlegging av tilsynsetater gjennomført i års - skiftet 1999/2000, har vi funnet mer enn 40 tilsynsetater som grovt beskrevet har følgende oppgaver: 1. Utforming av formelle detaljkrav i forskrifter eller enkeltvedtak. 2. Kontroll av pliktsubjektets status i forhold til kravene og eventuell oppfølging med reaksjoner (tilsyn). 3. Utarbeidelse av informasjon, kampanjer og annen virke - middelbruk som underbygger hensikten med reguleringen. 4. Områdeovervåkning og annen gjennomføring av sektor - politikk. Disse oppgavene kan være knyttet til ett eller flere regelverksområder, og for enkelte tilsynsorganer kan det være mange ulike tilsynsordninger som er plassert under samme tak. For den som ønsker videre fordypning kan notatet leses her: http://www.difi.no/statskonsult/publik/rapporter/fulltekst/ n2000-08.pdf Det finnes et mangfold av tilsynsorganer i Norge, og mange virksomheter som blir ført tilsyn med. Hvis du googler ordet tilsyn kommer det opp flere millioner resultater, så det kan synes å være høy aktivitet innenfor dette fagfeltet. I det siste tiåret, etter Statskonsults notat, har det skjedd noen omorganiseringer og sammenslåinger av statlige tilsynsorganer, og noen har også fått ny geografisk plassering ut fra Oslo. Tilsynsaktørene er en uensartet gruppe. Det er ikke bare Staten som fører tilsyn, men også Stortinget, Domstolene, kommunene og andre utfører beslektede oppgaver. Felles for de fleste er at de har flere roller og oppgaver, de kan være både reguleringsmyndighet og kontrollmyndighet, de kan være rådgivende organ og konsesjonsgiver, og de tar i bruk ulike virkemidler og sanksjonsmuligheter for å gi informasjon og støtte og hindre virksomhet som bryter med lover og regler. Mange avgir egne forskrifter og rundskriv, gjerne etter høringsrunder hos de som blir ført tilsyn med. De er også synlige i offentlig debatt innenfor sine fagfelt. Fra tid til annen oppstår diskusjoner om rolleblanding og politisk tyngde, og om engasjement fra tilsynsorganet kan svekke deres troverdighet. Felles er arbeidet med kontroll av etterlevelse og eventuell reaksjon. Tilsynsorganenes virksomhet er i stor grad regulert i egne lover eller forskrifter, og de statlige virksomhetene er knyttet til et departement som de også rapporterer til. Dette gjelder for eksempel Finanstilsynet, med Finanstilsynsloven opprinnelig av 1956 og Finansdepartementet som oppdragsgiver. Mens roller, oppgaver og omfanget av tilsynsaktivitetene er ulike ser vi en tendens til likhet i arbeidsmetodene. De fleste gjennomfører stedlige tilsyn og dokumentbaserte tilsyn. Et stedlig tilsyn beskrevet av Finanstilsynet innebærer en omfattende gjennomgang av en virksomhets drift, herunder virksomhetens risikoeksponering og kapitalbehov. Et stedlig tilsyn kan favne over hele virksomheten eller være fokusert mot enkelte risikoområder. Dokumentbasert tilsyn utføres blant annet gjennom at de som føres tilsyn med har rapporteringsplikt til tilsynsorganet. Arbeidstilsynet har for eksempel listet sine arbeidsoppgaver slik: Kontroller Varsla tilsyn Ikkje varsla tilsyn Revisjon Verifikasjon Marknadskontroll Kampanjar og aksjonar Tilsyn med ulukker Reaksjonar Pålegg Tvangsmulkt Stansing Melding til politiet SIRK nr 2. 2011 11
Tilsyns-Norge Mange av virksomhetene som blir ført tilsyn med har etablert intern revisjon eller andre interne kontrollorganer som rapporterer til virksomhetens ledelse og evt styre. Disse kan ofte bistå med å håndtere tilsynsorganenes behov for informasjon og dokumenter. Internrevisjonen bistår ofte også i oppfølgingen av tilsynet. Vi har utarbeidet en oversikt, ikke fullstendig, men med de kanskje mest kjente tilsynene, som vi møter i hverdagen enten gjennom arbeid eller privat. Til dette har vi brukt Norge.no din veiviser i det offentlige, som også har kontaktinfo til alle statlige tilsynsorganer og direktorater. Alle har selvfølgelig sine egne hjemmesider, hvor de beskriver for eksempel prioriterte oppgaver, hvilke typer virksomheter de fører tilsyn med, regelverk, publikasjoner, metodikk og rapportering. Det meste av informasjonen nedenfor er hentet fra hjemmesidene. Direktoratet for arbeidstilsynet hovedkontor i Trondheim Etatens oppgave er å føre tilsyn med at virksomhetene følger arbeidsmiljølovens krav, den utfører kontroll og gir veiledning om arbeidsmiljø. Arbeidstilsynet er organisert med et direktorat og syv regioner med underliggende tilsynskontor spredd over hele landet. Arbeidstilsynet er koordinerende etat for tilsynsetatene med tilsynsansvar i henhold til internkontrollforskriften på land. Samarbeidet ledes av Arbeidstilsynet og omfatter Direktoratet for samfunnssikkerhet og beredskap (DSB), Mattilsynet, Næringslivets sikkerhetsorganisasjon (NSO), Petroleumstilsynet (Ptil), Klima og forurensingsdirektoratet (Klif), Statens helsetilsyn og Statens strålevern. Datatilsynet hovedkontor i Oslo Datatilsynet er både tilsyn og ombud. Det skal medvirke til at den enkelte ikke blir krenket gjennom bruk av opplysninger som kan knyttes til han eller henne. Gjennom aktivt tilsyn og saksbehandling kontrollerer Datatilsynet at lover og forskrifter for behandling av personopplysninger blir fulgt, og at feil og mangler blir rettet. Datatilsynet fører en offentlig fortegnelse over alle behandlinger av personopplysninger som er meldt inn. Videre behandler Datatilsynet søknader om konsesjon, der dette kreves etter loven. Datatilsynet har også en viktig ombudsrolle. Rådgivning og informasjon gis til enkeltpersoner som tar kontakt med til - synet. For å skape oppmerksomhet og interesse omkring personvernspørsmål deltar Datatilsynet aktivt i den offentlige debatt og legger stor vekt på å praktisere meroffentlighet. Finanstilsynet hovedkontor i Oslo Finanstilsynet (tidligere Kredittilsynet) har tilsyn med blant annet banker, finansieringsselskap, kredittforetak, forsikringsselskap, pensjonskasser, verdipapirforetak, fondsforvaltningsforetak, børser, eiendomsmeglerforetak, regnskaps - førere, revisorer osv. Tilsynet skal se til at de institusjoner det har tilsyn med, virker på hensiktsmessig og betryggende måte i samsvar med lov og bestemmelser gitt i medhold av lov samt med den hensikt som ligger til grunn for institusjonens opprettelse, dens formål og vedtekter. Gjennom tilsyn med føretak og marknader skal Finans - tilsynet bidra til finansiell stabilitet og ordna marknads - forhold og til at brukarane kan stole på at finansielle avtalar og tenester blir følgde opp etter føremålet. I tillegg til det førebyggjande arbeidet må Finanstilsynet kunne bidra til å løyse problem som kan oppstå. Finanstilsynet legg til grunn at norske verksemder skal ha konkurransevilkår som samla sett er på linje med verksemder i andre EØS-land. Konkurransetilsynet hovedkontor i Bergen Konkurransetilsynets hovedoppgave er å håndheve konkurranseloven, gjennom å overvåke at konkurranselovens bestemmelser blir fulgt. I det daglige arbeidet legges det vekt på å gi oversiktlig informasjon og riktige incentiver til markedsaktørene, til beste for forbrukerne, næringslivet og offentlig virksomhet. Lotteri- og stiftelsestilsynet hovedkontor i Førde Følgende fremgår av tilsynets hjemmeside: Lotteri- og stiftelsestilsynet er eit direktorat med to fag - tilsyn med felles leiing og administrasjon. Vi fører tilsyn og kontroll med norske lotterier, pengespel og stiftelsar og administrerer ordninga med momskompensasjon til frivillige organisasjonar Lotteritilsynet blei oppretta 1. januar 2001 og er eit tilsyns - organ for forvaltning og kontroll av private lotteri og statlege spel. Bakgrunnen var eit ønskje frå Stortinget om å få betre kontroll med den veksande marknaden for spel og lotteri i Noreg. Stiftelsestilsynet har ansvaret for tilsyn med og kontroll av alle stiftelsar i Noreg etter stiftelseslova. Dette ansvaret var tidlegare knytt til Fylkesmannen. Det er om lag 8 000 stiftelsar i Noreg. Momskompensasjon Ansvaret for ordninga for momskompensasjon blei lagt til Lotteri- og stiftelsestilsynet i 2009. Gjennom ordninga har vi kontakt med rundt 2 000 frivillige lag og organisasjonar i Noreg. Luftfartstilsynet hovedkontor i Bodø Luftfartstilsynets hovedoppgave er å bidra til økt sikkerhet i all norsk sivil luftfart. Tilsynet har hovedansvaret for tilsynet med norsk luftfart, og skal være en aktiv pådriver for sikker og samfunnsnyttig luftfart i tråd med overordnede målsetninger for regjeringens 12 SIRK nr 2. 2011
Tilsyns-Norge samferdselspolitikk. Luftfartstilsynet fører tilsyn med at lover og forskrifter som gjelder sivil luftfart etterleves, og har overordnet ansvar for å fastsette normer og utøve kontroll i forhold til flyselskaper, verksteder, piloter og kabinpersonell. Mattilsynet hovedkontor i Oslo Mattilsynet ble etablert ved en sammenslåing av fire statlige tilsyn og de kommunale næringsmiddeltilsynene. Det består av ett hovedkontor, åtte regionkontorer og 54 distriktskontor fordelt på om lag 70 kontorsteder. Mattilsynet er et statlig, landsdekkende forvaltningsorgan som bidrar til å sikre forbrukerne helsemessig trygg mat og trygt drikkevann, og som skal fremme folke-, plante-, fiskeog dyrehelse, miljøvennlig produksjon og etisk forsvarlig hold av fisk og dyr. Tilsynet forvalter alle lovene som omhandler produksjon og omsetning av mat, matkjeden fra jord og fjord til bord. Medietilsynet hovedkontor i Fredrikstad Medietilsynet fører tilsyn med det omfattende området vi til daglig kaller media. Oppgavene omfatter for eksempel bevisstgjøring om barns bruk av internett og dataspill, regler for radio- og tv-sendinger, og aldersgrensesetting for kinofilm og videogramregistrering. Tilsynet håndterer også tilskuddsordninger, og fører tilsyn med markeds- og eier - forhold i dagspresse og kringkasting. Hovedmålet innenfor medieområdet er å sikre ytringsfrihet, rettstrygghet og et levende demokrati. Petroleumstilsynet hovedkontor i Stavanger Petroleumstilsynet fører tilsyn med petroleumsvirksomheten på sokkelen og enkelte petroleumsanlegg på land, og dekker mye av de samme arbeidsoppgavene som arbeidstilsynet gjør i landbasert virksomhet. Petroleumstilsynet har myndighetsansvaret for teknisk og operasjonell sikkerhet - herunder beredskap - og arbeids - miljø. Om selve tilsynsvirksomheten skriver Petroleumstilsynet: Vårt tilsyn omfatter en rekke aktiviteter som samlet gir oss grunnlag for å avgjøre om selskapene ivaretar sitt ansvar for å drive forsvarlig i alle faser av virksomheten. Post- og teletilsynet hovedkontor i Lillesand Post- og teletilsynet er et frittstående forvaltningsorgan med ansvar for å regulere og overvåke post- og ekomsektoren i Norge. (Ekom: Offentlige og private elektroniske kommunikasjonsnett.) Noen av tilsynets prioriterte oppgaver er knyttet til nummerforvaltning, digitalradio, sikkerhet og beredskap i nett, internett, domenenavn. Statens helsetilsyn hovedkontor i Oslo, også kalt Helsetilsynet med fylkeskontorer Statens helsetilsyn er overordnet tilsynsmyndighet for barnevern-, sosial- og helsetjenester i Norge. Vi sakser fra hjemmesiden: Statens helsetilsyn sine oppgåver omfattar: overvaking av tenestene opp mot befolkninga sine behov for tenester og samfunnet sine krav til tenestene (områdeovervaking) styring av tilsynsverksemda som fylkesmennene og Helsetilsynet i fylka driv behandling av enkeltsaker som dreier seg om alvorleg svikt i helsetenestene og der det er aktuelt med reaksjonar mot helsepersonell eller pålegg mot verksemde styring av fylkesmennene og Helsetilsynet i fylka si behandling av klager som gjeld befolkninga sin rett til tenester (etter blant anna barnevernlova, sosialtjenestelova og pasientrettslova) formidling av røynsler frå tilsyn til allmenta, tenestene og forvaltninga Statlig tilsyn er ett av flere virkemidler for å følge opp intensjonene i lovverket. Tilsyn og rådgivning basert på erfaringer fra tilsyn skal medvirke til at befolkningens behov for tjenester blir ivaretatt, tjenestene blir drevet på en faglig forsvarlig måte, svikt i tjenesteytingen forebygges og ressursene i tjenestene blir brukt på en forsvarlig og effektiv måte. Tilsynet retter seg mot virksomheter, og på helseområdet også mot helsepersonell. Statens jernbanetilsyn hovedkontor i Oslo Statens jernbanetilsyn er utøvende kontroll- og tilsyns - myndighet for jernbanevirksomheter i Norge, herunder trikk og T-bane. Tilsynets formål sier bl.a. at: Tilsynet skal arbeide for at jernbaneverksemda blir utøvd på ein sikker og formålstenleg måte, til beste for dei reisande, personalet ved banen og publikum generelt. Tilsynet skal føre tilsyn med at utøvarane av jernbane - verksemd oppfyller dei vilkåra og krava som er sette til verksemda i samsvar med jernbanelovgjevinga. I tillegg skal tilsynet overvaka marknaden for å sikra konkurranse på like vilkår og sjå til at rettane til passasjerane blir ivare - tekne. Foruten disse organisasjonene som har tilsyn i navnet, er det andre virksomheter og ulike direktorater som også utfører kontroll og tilsyn. Noen eksempler: Barneverntjenesten fører tilsyn med fosterhjem. Kommunene er pålagt å føre tilsyn med barnehagene og at reglene i plan- og bygningsloven blir fulgt av foretak. Fylkesmannen fører tilsyn med kommunene og fylkeskommunene. Utdanningsdirektoratet fører tilsyn med privatskoler, og har ansvaret for at Fylkesmannen fører tilsyn etter opplæringsloven. Biskopene i Den norske kirke fører tilsyn i forhold til menigheter, rådsorganer og ansatte i kirken. SIRK nr 2. 2011 13
Tilsyns-Norge Finanstilsynets arbeid med tilsyn innenfor bank- og finanssektoren ved Randi Almås, Redaksjonskomitéen Finanstilsynet er et selvstendig tilsynsorgan som bygger på lover og vedtak fra Stortinget, Regjeringen og Finansdepartementet og på internasjonale standarder for tilsyn. Gjennom tilsyn med foretak og markeder skal Finanstilsynet bidra til finansiell stabilitet og ordnede markedsforhold, og til at brukerne kan stole på at finansielle avtaler og tjenester blir fulgt opp etter formålet. I tillegg til det forebyggende arbeidet, må Finanstilsynet kunne bidra til å løse problemer som kan oppstå. Bankene er sentrale aktører i det finansielle systemet. Regulering og tilsyn er viktig for å bidra til å sikre finansiell stabilitet og tillit til det finansielle systemet. Tilsynet med bank- og finanssektoren skal bidra til solide foretak som har høy risikobevissthet, styring og kontroll. Vi har vært så heldige å få et kort intervju med Dag Bjørneset som er spesialrådgiver i Finanstilsynet og blant annet jobber med stedlig tilsyn i banker og finansieringsselskap. Han forteller at tilsynsarbeidet består av både stedlig og dokument-basert tilsyn. Stedlig tilsynsvirksomhet er viktig for å identifisere problemområder i enkeltinstitusjoner og for å komme i dialog med ledelsen og styret i en så tidlig fase som mulig. Finanstilsynet anvender en risikobasert tilsynsmetodikk. Det innebærer at flest ressurser blir anvendt på tilsyn av de mest systemviktige bankene og på de områdene som til enhver tid anses som mest risikofylte. Hvor mange banker og finansinstitusjoner føres det tilsyn med i Norge? Ved starten av året var det 113 sparebanker, 20 forretningsbanker og 57 finansieringsforetak, dessuten 35 utenlandske filialer i Norge samt 17 norske filialer i utlandet. Hvor ofte gjennomfører finanstilsynet stedlig tilsyn i en bank? Det varierer svært mye. Noen små og utvilsomt solide finansinstitusjoner har ikke hatt stedlig tilsyn på mange år. De største bankene har tilsyn hvert år, de aller største flere for året på ulike områder av virksomheten. DNB er i en særstilling ut fra sin størrelse og bredden i virksomheten. Vanligvis har det vært om lag 50 stedlige tilsyn per år, men Dag Bjørneset, spesialrådgiver i Finanstilsynet. i 2010 var det hele 70. Omfanget av tematilsyn, som typisk er et tilsyn av spesifikke compliance-forhold i et utvalg banker, avgjør gjerne om det enkelte år er særlig mange tilsyn. Besøkes både hovedkontor og filialer? Det er vanligvis hovedkontoret som besøkes, med noen unntak. Men filialer kan bli involvert ved at kredittsaker fra filialen kan være omfattet av tilsynet. Hvordan skjer tilsynsaktiviteter i forhold til utenlandske banker med filial i Norge? Det er tilsynsmyndighetene i hjemlandene som er ansvarlige for tilsynet med kredittrisiko, likviditet, soliditet osv i disse bankene, også det som er relevant for filialen i Norge. Finanstilsynet har imidlertid tilsynsansvar med compliance i forhold til norske regler og markedsadferden. Derfor var flere utenlandske filialer omfattet av tematilsynene om hvitvasking i 2010 og om praksis for boliglån i vår. Vi deltar også i tilsynsarbeidet med konsernene hvor den norske filialen inngår ved at vi deltar i et felles arbeid i det som kalles "college". Et college-samarbeid etableres ved at hjemlandsmyndighetene for internasjonale banker har invitert tilsynsmyndighetene i andre land der banken har filial eller datterbank til å være med i et tilsynssamarbeid. I "college" 14 SIRK nr 2. 2011
Tilsyns-Norge utveksles informasjon og inspeksjonsresultater, og vi planlegger tilsynsaktiviteter fremover, gjerne felles inspeksjoner. Konklusjonene knyttet til evaluering av ICAAP og kapitalnivå skal også besluttes i "college". Det er retningslinjer i EU for hva arbeidet i college skal omfatte. ICAAP Alle finansinstitusjoner og verdipapirforetak skal årlig gjennomføre en vurdering av egen risiko og kapital behov. Dette kravet gjelder i EU/EØS-området, og gjennomgangen betegnes som ICAAP - Internal Capital Adequacy Assessment Process. Finanstilsynet kan bruke bankenes ICAAP som grunnlag for sin tilsynsvirksomhet, sammen med annen innrapportering fra bankene. Tilsynsmyndighetene evaluerer ICAAP-prosessen og resultatene av prosessen i den enkelte bank (Supervisory Review Evaluation Process - SREP). Ved mangelfull etterlevelse av regelverket, har Finanstilsynet myndighet til å fastsette individuelle kapitalkrav, kreve redusert risikonivå eller kreve forbedret styring og kontroll. Årlig gjennomgang av kapital- og risikovurderinger fra mindre og godt kapitaliserte banker blir normalt ikke gjort. Hvilke deler av organisasjonen har tilsynet kontakt med under sine besøk? Vi har alltid møter med daglig leder og styrets leder, og ledelsen for det forretningsområdet som er omfattet av tilsynet, samt internrevisor. I mindre banker møter vi gjerne hele ledergruppen. Dessuten møter vi fagansvarlige og saksbehandlere for de aktuelle sakene som tas opp. Risk manager, eller økonomisjef der det ikke er risk manager, er alltid også sentral. Hvordan forholder tilsynet seg til internrevisjonen? Vi er svært opptatt av internrevisjonens arbeid, og det fremgår klart ved de stedlige tilsynene. Vi ber alltid om å få rapportene fra internrevisjonen, samt årsplan og årsrapport. Vi starter ofte forberedelsene til stedlig tilsyn med å lese bankens risikorapport og internrevisors rapporter. Det gir normalt en god oversikt over bankens risikoprofil. I sam - talene med internrevisor, som vi har uten deltakere fra banken ellers, spør vi blant annet om internrevisors arbeid, ressurser og bekymringer, og om hvordan banken prioriterer oppfølgingen av anbefalingene fra internrevisjonen. Internrevisors vurdering av bankens ICAAP er også noe vi alltid tar opp i samtalene. Ettersom Finanstilsynet ikke gir en vurdering av ICAAP til alle banker, er den uavhengige vurderingen av ICAAP desto viktigere for bankens styre. Hvordan rapporterer Finanstilsynet tilbake til en bank etter et stedlig tilsyn? Vi utarbeider først det som kalles en foreløpig rapport. Den er ganske omfattende, og inneholder en grundig gjennomgang av tilsynets observasjoner, vurderinger og anbefalinger. Rapporten stiles til styret i finansinstitusjonen. Etter at vi har mottatt styrets kommentarer, utarbeides en endelig rapport som er offentlig. Den er noe mer overordnet enn den foreløpige rapport. Forretningshemmeligheter og kundeopplysninger er selvsagt unntatt offentlighet. Hvordan velges tema for tilsyn: Benyttes modeller for risikobasert utvelgelse av tema? Vi har ikke en særskilt metodikk for å velge tema for stedlig tilsyn. Det følger av hva som vurderes som de mest aktuelle risikoene, og tid siden forrige tilsyn. Kredittrisiko og likviditetsrisiko er hyppigst dekket - typisk annet hvert år i de større bankene. I mindre banker dekkes vanligvis begge risikoområdene, og dessuten ICAAP og styring og kontroll, ved alle stedlige tilsyn. Gjennomføringen av de stedlige tilsynene bygger på risikomoduler utviklet av Finanstilsynet. Disse er basert på egne erfaringer og internasjonale anbefalinger, f.eks. fra Baselkomiteen og EBA (European Banking Authority). Modulene er et rammeverk for å kartlegge bankenes risikoeksponering og bankenes styring og kontrollopplegg. Det er moduler for kredittrisiko, markedsrisiko, likviditetsrisiko, operasjonell risiko og overordnet styring og kontroll. ITtilsynet har også utarbeidet en modul. Det risikobaserte tilsynet og modulene er tilgjengelige på Finanstilsynets hjemmesider. Hvordan gjennomføres tilsyn med at for eksempel for - skriften om internkontroll og risikostyring og IKTforskriften overholdes? Det er en egen enhet i Finanstilsynet som gjennomfører tilsyn på IKT-området innenfor enkeltinstitusjoner og fellessystemene. Det publiseres årlig en rapport basert på denne virksomheten som heter Risiko og sårbarhetsanalyse. Det er interessant lesning. Kravene i forskrift om risikostyring og internkontroll er innarbeidet i våre tilsynsmoduler for styring og kontroll, og sånn sett er det dekket av alle tilsyn. For banker ligger kravene til risikostyring og kontroll formelt sett nedfelt i Basel II-regelverket. I Norge er dette nedfelt i Finansierings virksomhetsloven og Kapitalkravsforskriften. Men Forskrift om risikostyring og internkontroll er fortsatt aktuell også for banker og finansieringsselskap, særlig med kravet om "lederbekreftelsen" av gjennomførte kontrollhandlinger. Dette er en prosess hvor de fleste bankene kan utvikle en mer konkret metodikk slik at ledernes vurderinger bygger på mest mulig konkrete og konsistente målinger av kvaliteten. SIRK nr 2. 2011 15
Tilsyns-Norge Hvordan påvirker eksterne tilsyn intern styring og kontroll ved et helseforetak? Av Hege Knoph Antonsen, intern - revisor i Helse Nord RHF Innledning Helgelandssykehuset HF er et helseforetak på Helgeland i Nordland fylke. Foretaket består av tre lokalsykehus og betjener en befolkning på ca 75 000. Helgelandssykehuset er organisert med foretaksledelse og avdelingsdirektører for hver av de tre autonome sykehusenhetene i Mo i Rana, Mosjøen og Sandnessjøen. Foretaket har ikke tverrgående faglig ledelse for de tre sykehusenhetene, men en del av det medisinske behandlingstilbudet er funksjonsfordelt. I foretakets vedtekter er formålet for virksomheten definert slik: Helgelandssykehuset HF skal yte gode og likeverdige spesialisthelsetjenester til alle som trenger det uavhengig av alder, kjønn, bosted, økonomi og etnisk bakgrunn samt legge til rette for forskning og undervisning. Pasientfokus og samhandling er stikkord for Helgelandssykehusets målsetting: Gjennom pasientfokus og samhandling skal helsefore taket sikre et trygt og framtidsrettet tjenestetilbud basert på verdier som kvalitet, omsorg og respekt. På foretakets internettside skriver administrerende direktør Per Martin Knutsen at denne målsettingen er valgt for å understreke at det er pasientene som skal være i fokus i all plan legging og virksomhet. Videre skriver han at: Utfordringene er mange.... Tjeneste - tilbudene må samordnes og organiseres i foretaket, slik at vi kan forbedre kvaliteten og møte nå- og framtidens krav fra våre brukere. Som internrevisor i Helse Nord RHF har undertegnede hatt gleden av å samarbeide med representanter fra Helgelands - sykehuset i flere sammenhenger. Denne gangen ba jeg om å få en prat om eksterne tilsyn og hvordan disse påvirker virksomhetens interne styring og kontroll. Medisinsk direktør Fred Mürer og kvalitetsleder Sigurd Finne har villig delt sine erfaringer, inntrykk og oppfatninger med SIRKs lesere. Aktuelle tilsynsorganer Helseforetak er komplekse virksomheter som reguleres av omfattende lovverk, og føres tilsyn med av mange tilsynsorganer. Hvilke tilsynsorganer gjelder dette, og hvilke aktiviteter eller enheter omfattes av de ulike tilsyn? Det er mange ulike aktører. For å gi et innblikk i bredden av dette har vi satt opp en tabell som viser noen av tilsynsorganene og hvilke tema/områder de fører tilsyn med. Oversikten er ikke komplett. Tilsynsorgan Helsetilsynet Arbeidstilsynet Mattilsynet Direktorat for samfunnssikkerhet og beredskap (DSB) Statens Legemiddelverk Baxter Kommunal Kontrollkommisjon Lokalt Branntilsyn Helgelandskraft Riksrevisjonen Ernst & Young (ekstern revisor) Fred Mürer Medisinsk direktør Helgelands - sykehuset HF Sigurd Finne Kvalitetsleder Helgelands - sykehuset HF Fører tilsyn med Helsetjenesten og alt helsepersonell. Helsetilsynet skal påse at foretaket har etablert internkontrollsystem og fører kontroll med sin egen virksomhet på en slik måte at det kan forebygge svikt i helsetjenesten. At foretaket følger arbeidsmiljølovens krav. Matsikkerhet, helsemessig trygg mat og drikke. Forebyggende samfunnssikkerhet og kriseberedskap, brann- og elsikkerhet, håndtering av brannfarlige, eksplosjonsfarlige, trykksatte og reaksjonsfarlige stoffer, og sikkerhet ved produkter og forbrukertjenester. Produksjon, oppbevaring og salg av legemidler. Produksjon av blodprodukter. Psykisk helsevern. Brannsikkerhet. Elsikkerhet. Forvaltningen av statens interesser. Regnskapsføring 16 SIRK nr 2. 2011
Tilsyns-Norge Hvor ofte gjennomfører de aktuelle tilsynsorganene tilsyn med Helgelandssykehusets aktivitet? For foretaket sett under ett vil det vanligvis dreie seg om: Tilsynsorgan Hyppighet pr. år Helsetilsynet 6 Arbeidstilsynet 3 Mattilsynet 3 DSB 1 Statens Legemiddelverk 3 Baxter 3 Kommunal Kontrollkommisjon 3 Lokalt Branntilsyn 3 Helgelandskraft 3 Riksrevisjonen 2 Ernst & Young (revisor) 2 I tillegg er helseforetakene pålagt å selv melde fra om spesielle hendelser til ulike tilsynsorganer. Kan dere kort fortelle om noen av disse melde - ordningene? Ja, se eksempler i tabellen nedenfor. Generelle erfaringer, inntrykk og oppfatninger om tilsyn På hvilken måte er dere to involvert ved ulike tilsynsaktiviteter? Sigurd Finne som er kvalitetsleder for HF et har et overordnet koordineringsansvar ved foretaksovergripende tilsyn. Dvs. å sørge for at de involverte blir informert om tilsynet som kommer og om når og hvor de skal møte til intervju, åpningsmøte og avslutningsmøte. Sigurd Finne blir også intervjuet ved foretaksovergripende systemtilsyn. Tilsynsorgan Helsetilsynet Helsetilsynet Sosial- og Helsedir. DSB Datatilsynet Rapporteringsform Standardskjema Egen e-postadresse Standardskjema Standardskjema Brev Videre koordinerer han også rapportsvaret fra HF et til tilsynsorganet. Fred A. Mürer som er medisinsk direktør for HF et, har et overordnet ansvar for koordinering av medisinsk virksomhet, og er stedfortreder for adm. dir. Han er oftest intervjuobjekt ved foretaksovergripende tilsyn på den medisinske virksomheten. Hvordan opplever dere tilsynsaktivitetene samlet sett? Vi ser at det er en økende ressursbruk på tilsynsaktivitetene. Noen ganger er det koordinerte opplegg fra tilsynsorganer som har snakket sammen, men ofte opplever vi at det kan komme 2 tilsyn med 1 ukes mellomrom. Noen tilsynsorganer får vi en fin dialog med og får fin læringseffekt, mens med andre får vi ikke den dialogen som vi ønsker. I hvilken grad samsvarer tilsynsorganers fokusområder med områder virksomheten selv oppfatter som viktige, risikoutsatte eller sårbare? Det varierer. Enkelte ganger treffer de veldig bra, andre ganger synes vi at det er pirk/unødvendige detaljer de er ute etter. I tillegg til disse eksterne tilsynsorganene overvåker også Helse Nord RHFs Internrevisjon foretakets virksomhetsstyring, risikostyring og internkontroll. Opplever dere at Internrevisjonens rolle og aktiviteter skiller seg fra eksterne tilsynsorganer på noen måte? Nei, vi opplever at de følger samme mal som de andre tilsynsorganene. Internrevisjonen oppleves som en fin samtalepart som vi kan diskutere løsninger med. Innhold Melding om pasientskade / forhold som kunne ført til betydelig pasientskade Statens helsetilsyn har etablert en ut - rykningsgruppe for å styrke den tilsynsmessige oppfølgingen når det har skjedd alvorlige hendelser (dødsfall eller betydelig skade) i spesialisthelsetjenesten. Uhell og ulykker vedr. elektromedisinsk utstyr Uhell ved transport av farlig gods Dersom hendelser/situasjoner oppstår som kan eller har medført at sensitiv informasjon har eller kan tilflyte uvedkommende Spesielt om Helsetilsynets virksomhet Helsetilsynet er naturlig nok et sentralt tilsynsorgan for helseforetakene. I Prop. 1 S (2010-2011) (HOD, side 89) om statsbudsjettet for 2011 framgår det at tilsynsressursene i Statens helsetilsyn, fylkesmennene og Helsetilsynet i fylkene skal styres mot: områder av stor betydning for enkeltmenneskers rettssikkerhet der sann - synlighet for svikt er stor, der konsekvensene av svikt for brukere og pasienter er alvorlige eller der brukere og pasienter ikke selv kan forventes å ivareta egne interesser. I hvilken grad oppfatter dere at de tilsyn som gjennomføres av Helsetilsynet i fylket er rettet mot områder som samsvarer med beskrivelsen overfor? Synes det er godt samsvar her. Hvordan opplever dere foretakets muligheter for dialog med tilsynet om utvelgelse av tema, og er slik dialog ønskelig? De gjennomfører nå årlige møter med representanter fra alle foretakene i Helse Nord i januar måned der de presenterer planene sine for året som kommer, der får vi gi tilbakemelding på planene deres. Veldig bra. Generelt vet vi at Helsetilsynet etter systemrevisjoner relativt ofte konkluderer med både avvik og merknader til virksomheten som er revidert. Går det an å svare generelt på om slike svakheter, for Helgelandssykehusets del, oftest er forhold dere har vært klar over selv, eller om tilsynet ofte avdekker svakheter dere ikke har vært oppmerksomme på? Et generelt svar på dette må være at det er begge deler. Noen ganger vet vi at vi kommer til å få avvik, mens andre ganger er vi så sikre som det går an å bli på at vi ikke vil få avvik. Men her kan vi jo tro feil noen ganger, i begge retninger. Hvilken effekt har det at Helsetilsynet påpeker avvik og forbedringsmulig - heter? Det er flere effekter her. For det første får vi jo økt fokus på det området der det ble avdekket avvik, og for det andre blir læringsprosessen av å se SIRK nr 2. 2011 17
Tilsyns-Norge egne feil og forbedringsmuligheter styrket. Det er positivt at utenforstående ser oss i korta, de ser med andre øyne og alle tilbakemeldingene styrker oss i å se oss selv bedre. Helgelandssykehusets nytte av tilsyn i egen styring og kontroll Hvilken betydning opplever dere generelt at tilsyn har for Helgelands - sykehusets interne styring og kontroll? Internkontrollen vår blir jo bedre av tilsynene. Det er jo en kontinuerlig prosess å forbedre internkontrollsystemet vårt. Tilsynene bidrar på sin måte med kontroller og sammen med vårt interne arbeid får vi en progresjon i utviklingen av internkontrollsystemet vårt. Hvordan benytter dere erfaringer fra gjennomførte tilsyn til læring og forbedring i andre enheter enn de som har vært direkte omfattet? Her har vi ikke vært flinke nok til å oppnå læring og forbedring ved andre enheter enn de som har vært direkte involvert. Informasjon om at det har vært tilsyn ved en enhet og senere resultatene fra tilsynene blir tatt opp på ledermøtene, samt info om avvikene som ble avdekket. I tertialrapportene til Helse Nord RHF gir vi også en kort status om tilsynene som har vært. Vi har imidlertid et klart forbedrings - potensial i å sette resultatene fra til - synene i system i hele helseforetaket. I hvilken grad orienteres og involveres den øverste ledelse og styret i slikt forbedringsarbeid? De blir regelmessig orientert på ledermøter og styremøter, og kvalitetsarbeid er ett hovedfokus for styre og ledelse i 2011 2012. Som ledd i det er også ulike områder innen kvalitetsarbeidet blant temaene på seminarer for styret i forbindelse med styremøter. Er det andre forhold dere ønsker å belyse til slutt nå som dere har anledning til å nå en stor leserkrets? Det måtte være at alle tilsynsorganer var åpne for, og satte av tid til, diskusjoner om alternative løsninger på de avvik og forbedringsområder som de finner, før de bestemmer seg for resultatet av revisjonen. I et kort avslutningsmøte er det ikke tid nok til slike diskusjoner. Til slutt kunne det også vært fint om enkelte tilsynsorganer innen rimelig tid ga oss tilbakemelding på om forslagene våre på å lukke avvikene i den mottatte tilsynsrapporten var gode eller dårlige, og ikke venter til neste år og ny revisjon. 18 SIRK nr 2. 2011
DET SOM ER VIKTIG FOR DEG ER VIKTIG FOR OSS BDO er en revisjons- og rådgivningsvirksomhet med over 900 ansatte ved kontorer over hele landet. Vi tilbyr tjenester innenfor hovedområdene; revisjon, rådgivning, skatt og avgift samt regnskap og lønn. Våre medarbeidere har lang erfaring fra risikostyring, internkontroll, internrevisjon, IT-revisjon og informasjonssikkerhet. Vi er en fortrolig samarbeidspartner og etterspurt løsningsleverandør for krevende kunder innen norsk næringsliv, organisasjoner og offentlig sektor. For mer informasjon om hva vi kan hjelpe deg med, ta kontakt med: Morten Thuve Tlf.: 23 23 76 50 morten.thuve@bdo.no Kent M. E. Kvalvik Tlf.: 23 11 91 03 kent.kvalvik@bdo.no Rune Waage Tlf.: 23 11 92 57 rune.waage@bdo.no www.bdo.no SIRK nr 2. 2011 19
Tilsyns-Norge Internrevisjonen som verdiskapende funksjon ved Jeanette Andersen, Direktør, PwC, Mariann Tronsrud, Statsautorisert revisor, PwC og Mari Vonen, Statsautorisert revisor, PwC Som en del av studiet i Internrevisjon, risikostyring og governance på handelshøyskolen BI har vi vurdert intern - revisjonen som verdiskapende funksjon ved å gjennomgå relevant teori på området, samt hvordan denne teorien gjør seg gjeldende for ulike virksomheter. I vår undersøkelse har vi involvert virksomheter som represen - terer tre ulike bransjer. Virksomhetene er valgt på bakgrunn av sektor (offentlig vs. privat), størrelse (internasjonal vs. nasjonal), organisering og rapporteringslinjer. Konklusjonene som fremgår av undersøkelsen vil derfor ikke være egnet for generalisering, men fungere som et supplement i vurderingen av intern - revisjonen som verdiskapende funksjon. Undersøkelsen skiller mellom faktorer ved en verdiskapende internrevisjon og aktiviteter som tilfører merverdi for virksom - heten. Vi har imidlertid fokusert på hvorvidt internrevisjonen bidrar til verdiskapning for toppledelsen. Dette fordi toppledelsen anses å ha den beste forutsetning for å si noe om opplevd verdiskapning av arbeidet som utføres av internrevisjonen. Dette gjelder for både rådgivnings- og bekreftelsesoppdrag. Vi har derfor intervjuet representanter fra toppledelsen, samt leder for internrevisjonen i de ulike selskapene. I undersøkelsen vår vurderes funnene fra intervjuene opp mot hverandre, samt mot det teoretiske fundamentet. Fra revisorstøtte til verdiskaper Internrevisjonen som funksjon har endret seg betraktelig gjennom tidene. Fra å være en part som tidligere støttet eksternrevisor, til nå å fokusere på å være en uavhengig bekreftelses- og rådgivningsfunksjon som tilfører merverdi til virksomheten. Kravet om å tilføre merverdi fremkommer av The Institute of Internal Auditors (IIA) definisjon av internrevisjon: Internrevisjon er en uavhengig, objektiv bekreftelses- og rådgivningsfunksjon som har til hensikt å tilføre merverdi og forbedre organisasjonens drift (Etiske regler og standarder for profesjonell utøvelse av internrevisjon, januar 2011, s 5). Den strategiske målsettingen til internrevisjonen er å tilføre virksomheten merverdi. De grunnleggende forutsetningene for å tilføre merverdi er henholdsvis objektivitet, selskapsforståelse, samt fag- og bransjekompetanse. Hva er merverdi og hvordan skape merverdi Hva vil det egentlig si å tilføre merverdi og for hvem skal internrevisjonen tilføre denne merverdien? Hva som ligger i begrepet tilføre merverdi vil variere fra virksomhet til virksomhet. Hypotesen i oppgaven er imidlertid at noen elementer er sammenfallende og det er disse elementene oppgaven søker å belyse. Videre forutsettes det at det foreligger en sammenheng mellom ledelsens oppfatning av verdiskaping og faktorer ved internrevisjonen som funksjon. Internrevisjonen tilfører merverdi til organisasjonen (og dens interessenter) når den gir objektiv og relevant bekreftelse og bidrar til hensiktsmessige og effektive prosesser for governance, risikostyring og kontroll. Den oppdaterte definisjonen fra 2011 representerer en betydelig endring fra definisjonen i standarden fra 2000 da fokuset var på at merverdi knyttet seg til internrevisjonens leveranse av forbedringer. Merverdi skapes ved å forbedre mulighetene for at organisasjonen når sine målsetninger, identifisere driftsmessige forbedringer og/eller redusere risikoeksponering både gjennom bekreftelsesog rådgivningstjenester. Sammenhengen og hovedtyngden av merverdibegrepet knyttes i den nye standarden til bekreftelsestjenester. Rådgivnings - dimensjonen sidestilles med anbefalingene fra bekreftelses - oppdrag i andre delsetning bidrar til hensiktsmessige og effektive prosesser for governance, risikostyring og kontroll. Det er interessant å registrere at definisjonen av bekreftelses - tjenester i standardene ikke nevner merverdi, mens definisjonen av rådgivningstjenester eksplisitt fastsetter det å tilføre merverdi som formålet med de rådgivende tjenestene. Like fullt er det standardsetternes klare intensjon at også bekreftelsestjenester tilfører merverdi. Verdiskapende faktorer og bidrag til verdi - skapning Med bakgrunn i teorien, delte vi opp de verdiskapende faktorene i følgende områder: Organisering og roller Samspill mellom toppledelsen, revisjonsutvalg 1 /styret og internrevisjonen Internrevisjonens profesjonalitet Risikovurdering og revisjonsplanlegging Koordinering med andre tilsyns- eller overvåkningsfunksjoner Figur 1: Internrevisjonens verdiforslag (kilde: IIA Value Proposition task force). 1 Revisjonsutvalg benyttes for det engelske begrepet Audit Committee, jfr.asal. 6-41. 20 SIRK nr 2. 2011